首先,介绍一下实验环境。我们使用的是HCL v2.1.2版本,操作系统为Windows 7。在这个环境中,我们将构建一个模拟的企业网络,以展示VLAN的划分和应用。
拓扑结构方面,我们采用了一张网络结构图,其中包含了多个交换机和计算机。这个结构图的目的是帮助我们更好地理解不同VLAN之间的连接和通信方式。
接下来,深入探讨模拟环境。企业网络或需要逻辑区域划分的局域网通常使用VLAN技术。通过VLAN,我们可以将网络划分为不同的广播域,从而提高网络的安全性和性能。不同VLAN之间默认情况下是不允许相互访问的。
在VLAN中,接口类型是关键概念。主要有三种接口类型:Access、Trunk和hybrid。access接口通常用于连接终端设备,只能属于一个VLAN。trunk接口则允许多个VLAN通过,常用于交换机之间的连接。hybrid接口可以同时支持access和trunk的功能,适用于多种场景。
hybrid和trunk接口需要设置缺省VLAN ID,通常是VLAN 1。华三交换机中,这个缺省VLAN被称为“Pvid Vlan”。
对于access端口,它接收报文时会判断是否含有VLAN信息,如果没有,则将端口的pvid打上并交换转发。如果有VLAN信息,则丢弃。发送报文时,则将VLAN信息剥离后发送。
trunk端口在接收报文时会判断是否有VLAN信息,并根据端口设置决定是否转发或丢弃。发送报文时,如果将要发送的报文的VLAN和端口的pvid不一致,则直接转发;如果一致,则剥离VLAN信息后再发送。
hybrid端口在接收报文时,如果报文有VLAN信息,则根据端口设置决定是否转发或丢弃。如果没有VLAN信息,则将端口pvid打上并转发。发送报文时,根据端口配置的untagged和tagged VLAN信息决定是否剥离VLAN信息。
VLAN的划分方式有四种:基于端口、MAC地址、协议和IP子网。基于端口的划分方式较为简单,但适用于网络结构不频繁变化的场景。基于MAC地址的划分则允许设备在不同端口间移动,但需要知道所有连接设备的MAC地址。基于协议和IP子网的划分方式则更适用于需要灵活调整网络结构的场景。
在实际配置中,我们首先需要为PC机分配ip地址。以四台PC为例,它们的IP范围可以是192.168.100.3/24至192.168.100.6/24。然后在交换机上创建VLAN,并将相应的端口加入到对应的VLAN中。
在划分VLAN后,可以通过ping测试来验证不同VLAN间的主机是否能够相互通信。例如,如果两台PC处于不同的VLAN,它们之间的ping测试应该会超时;如果处于同一VLAN,则应该能够ping通。
总之,通过合理地配置VLAN,我们可以提高网络的安全性和性能,同时为不同的网络应用和服务提供灵活的解决方案。
一、实验环境
HCL v2.1.2
win7操作系统
二、拓扑结构
三、模拟环境
一般用于企业网络或者需要对局域网进行逻辑区域划分的网络。不同_vlan_间一般情况是不能相互访问的,这样就可以减少广播和提高网络安全性。
四、介绍
1、接口类型
access(只能属于一个VLAN,一般用于连接终端设备(计算机))
trunk(可以允许多个VLAN通过,能接收和发送多个VLAN报文,一般用于交换机之间的连接)
hybrid(可以允许多个VLAN通过,能接收和发送多个VLAN报文,可以用于交换机之间的连接或者用于连接用户的计算机)
Hybrid端口和Trunk端口属于多个VLAN,需要设置缺省VLAN ID。缺省情况下,Hybrid端口和Trunk端口的缺省VLAN为VLAN 1。
对于华三交换机缺省VLAN被称为”Pvid Vlan”。
2、接收和发送报文
access端口接收报文
收到报文后判断是否含有VLAN信息,如果没有则将端口的pvid打上,并进行交换转发。如果有则丢弃。
access端口发送报文
将报文的VLAN信息剥离后发送出去。
access端口可以实现同一交换机同一VLAN下的主机通信。
trunk端口接收报文
收到报文后判断是否有VLAN信息:若有,则判断trunk端口是否允许该VLAN数据进入,如果可以的话就转发,否则丢弃;如果没有VLAN信息则将端口的pvid打上后进行转发。
trunk端口发送报文
比较将要发送的报文的VLAN和端口的pvid,若不一样则直接转发,若一样则剥离VLAN信息后再发送。
trunk端口可以实现多个交换机同一VLAN的计算机主机进行通信。
hybrid端口接收报文
收到一个报文后判断是否有VLAN信息:若有则判断该hybrid端口是否允许该VLAN数据进入,若可以则转发,否则丢弃(untagged在此不起作用,untagged只对发送报文时起作用);如果没有则将端口pvid打上并进行转发。
hybrid端口发送报文
收到报文时根据该端口配置的信息,哪些是VLAN是untagged,哪些VLAN是tag(可以通过display interface查看),如果是untagged则剥离VLAN信息再发送,如果是tag则直接发送。
hybrid可以很灵活地实现不同VLAN下主机的通信。
3、划分vlan的4种方式
基于端口
由于需要一个个端口的指定,因此当网络中的计算机数目超过一定数量后,设定操作就会变得繁杂。
并且,终端每次变更所在端口,都必须同时更改端口所属VLAN的设定,显然不适合需要频繁修改拓扑结构的网络。
基于MAC
基于MAC地址的VLAN,就是通过查询并记录端口所连终端网卡的MAC地址来决定端口的所属。
假设有一个MAC地址“A”被交换机设定为属于VLAN“10”,那么无论MAC地址为“A”的这台终端连接在交换机的哪个端口,该端口都会被划分到VLAN10中。
由于是基于MAC地址决定所属VLAN的,因此可以理解为这是一种在OSI的第二层设定访问的方式。
但是,基于MAC地址的VLAN,在设定时必须知晓所有连接终端的MAC地址。
基于协议
用户主机物理位置改变后,不需要重新配置所属的VLAN网络。适用于需要针对不同应用和服务来组织用户的场景。
但是,需要检查每一个数据包的网络层地址需要消耗处理时间,效率较低。
基于IP子网
基于子网的VLAN,则是通过所连计算机的IP地址,来决定端口所属VLAN的。
不像基于MAC地址的VLAN,即使计算机因为交换了网卡或是其他原因导致MAC地址改变,只要它的IP地址不变,就仍可以加入原先设定的VLAN。
因此,与基于MAC地址的VLAN相比,能够更为简便地改变网络结构。
IP地址是OSI参照模型中第三层的信息,所以我们可以理解为基于子网的VLAN是一种在OSI的第三层设定访问链接的方法。
五、路由器配置
1、PC机ip配置
四台PC的IP范围:192.168.100.3/24-192.168.100.6/24
2、划分vlan
首先要在交换机上创建vlan10、vlan20
vlan10 vlan20 #创建vlan的命令
基于端口
我们只用在交换机创建的vlan中加入相对应的端口即可。
portg1/0/1#在vlan20的视图下使用此添加端口命令 portg1/0/2#在vlan10的视图下使用此添加端口命令
六、ping测试
基于端口
交换机与交换机之间放行所有vlan(根据实际情况放行)
下图是PC4:ip:192.168.100.4/24,vlan20
因为与ip为192.168.100.3的pc3处于不同vlan所以ping超时
而与ip为192.168.100.6的pc6处于同一vlan所以ping通
审核编辑:汤梓红
